Chrome: Standardmäßig in Richtung HTTPS
von caschy | 4 Kommentare
Google hat bekannt gegeben, dass im letzten Jahr über 90 % aller Navigationsvorgänge von Chrome-Nutzern über HTTPS-Seiten lief. Dies bedeutet, dass der Großteil des Datenverkehrs verschlüsselt und authentifiziert ist und somit vor Netzwerkangreifern geschützt sein sollte. Aber es gibt noch HTTP-Aufrufe und obwohl Chrome eine Warnung beim Besuch solcher Seiten anzeigt, möchte man mit der Einführung des „HTTPS First“-Modus einen Schritt weiter gehen.
Der „HTTPS First“-Modus stellt sicher, dass alle eingegebenen URLs oder über Links aufgerufenen Websites automatisch auf HTTPS umgestellt werden, sofern verfügbar. Wenn eine Website HTTPS nicht unterstützt, leitet Chrome den Benutzer zur Website weiter, warnt jedoch vor möglichen Sicherheitsrisiken.
Google setzt auf die Priorisierung von HTTPS, um die Sicherheit der Benutzerdaten zu erhöhen. Die Verwendung von HTTPS gewährleistet eine verschlüsselte Verbindung zwischen dem Nutzer und der Website, um das Risiko von Datenlecks und potenziellen Angriffen von Dritten zu reduzieren.
Der „HTTPS First“-Modus wird voraussichtlich in einer zukünftigen Version von Google Chrome eingeführt. Sobald der Modus aktiviert ist, wird der Browser standardmäßig alle Websites über eine sichere HTTPS-Verbindung öffnen. Bereits im aktuellen Chrome 115 experimentiert man mit dem Modus herum.
Auch bei den Downloads gibt es Änderungen. Aufbauend und erweiternd auf der vorherigen Arbeit zur Entfernung der Unterstützung für gemischte Downloads wird Chrome eine Warnung anzeigen, bevor jegliche hochriskanten Dateien über eine unsichere Verbindung heruntergeladen werden.
Heruntergeladene Dateien können bösartigen Code enthalten, der die Sandbox und andere Schutzmechanismen von Chrome umgeht. Dadurch hat ein Angreifer im Netzwerk eine einzigartige Möglichkeit, Nutzer-Computer zu kompromittieren, wenn unsichere Downloads stattfinden. Diese Warnung zielt darauf ab, die Menschen über das Risiko, das sie eingehen, zu informieren. Wenn Anwender mit dem Risiko vertraut sind, können sie die Datei dennoch herunterladen. Sofern der HTTPS-First-Modus nicht aktiviert ist, zeigt Chrome keine Warnungen an, wenn unsichere Downloads von Dateien wie Bildern, Audiodateien oder Videos erfolgen, da diese Dateitypen relativ sicher sind. Google plant, diese Warnungen ab Mitte September einzuführen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
“… geschützt sein sollte”
Bis ein selbstherrlicher Admin beschlossen hat auf allen Computern eine eigene CA zu installieren, vorgeblich zur Sicherheit der Allgemeinheit. Das ist natürlich falsch. Das ist per Definition eine Man-In-The-Middle-Attacke bei dem alle sensible Daten im Klartext anfallen. Beim nächsten IT-Zwischenfall gibt es dann die Katastrophe, weil eben nichts verschlüsselt war. Ziel? Der Admin der da mit seinem Schlangenöl mitlesen möchte!
Ein Großteil der Informatik basiert auf Certificate-Authorities (dem Zeug mit dem jeder zweite Mitte der 90er reich geworden ist), Zwischenzertifikaten und dann den Zertifikaten. Weil das System derartig schlecht und fehleranfällig ist, hat es Microsoft in Windows eingebaut. Und dann nochmal in SecureBoot. Nur um ganz sicher zu gehen, dass schon ab dem Boot alles anfällig ist. Zertifikat gesperrt, Zertifikat abgelaufen, CA (Microsoft) unwillig und jede eigene Änderung muss signiert werden. Google hat schon Mehrfach versucht Zertifikate in Chrome sicher zu machen, vor allem bei den Revokes schief gelaufen. Das grüne Schloss sagt nur, dass irgendwas mit irgendwem verschlüsselt wird.
Die Lösung? PGP, entweder Ihr Vertraut oder ihr Vertraut anderen. Und? Selbst signierte Zertifikate im Web. In der Tat sahen die erste Entwürfe genau das vor. Man bekommt einen Fingerprint von Zertifikat einer Website (zum Beispiel Onlinebankingvertrag), ruft die Website ab und wenn es passt nimmt man das Zertifikat an. Nur dann ist es sicher. Weil? Ihr müsst vertrauen. Und prüfen! Um es leichter zu machen kann man ASCII-Grafiken (siehe SSH) oder QR-Codes verwenden.
Ansonsten beruft sich der Browser auf eine teilweise dubiose Liste von CAS, die Geld mit dem Verkauf (Fehlanreiz) von Zertifikaten machen. DigiNotar und Turktrust… ja okay…Ausnahmen? Wie CNNIC und Symantec?
Ja. Aber wieso nutzen dann alle diese CAs? Geld. Und der Browser soll ein Schloss dran machen. Macht so nur keinen Sinn. Der Anwender muss prüfen. Signal und WhatsApp bieten es sogar an 😉
Ja. Da muss man *eigentlich* die Key alle Gesprächspartner abgleichen!
Sollte das Web mal diesen CA-Blödsinn los werden, könnte es mal sicher werden.
PS: Bei Windowszertifikaten (die für die Panikmeldungen nach dem Herunterladen). Da kann man für kleines Geld eine der Meldungen (Smartscreen) “wegkaufen”. Es ist herrlich…
Das ist das Problem mit der Verantwortung.
Der Mensch möchte im Grundsatz, das „jemand anderes“ verantwortlich ist, nicht er selbst.
Und ich dachte an lenovo.
Wie nannte sich das damals? blowfish ?
Kurz gesagt: noch mehr sinnbefreite Warnungen weil sich eine Firma vorstellt Dinge besser zu wissen als alle anderen…
Wie schon @hsci geschrieben hat – alles blos Geldbeschaffung